Da bi ste pokrenuli netstat morate da pokrenete Dos Prompt i da unesete komandu netstat. Netstat je alat koji vam moze dosta koristiti i koji ima dosta svrha. Ja licno koristim netstat kako bih otkrio IP adresu drugih korisnika na ICQ i AIM. Takodje, netstat mozete koristiti i za posmatranje otvorenih portova. Netstat se nalazi u windows direktorijumu i mozete ga pokrenuti ako u ms-dos prompt unesete:
c:windows> netstat
Active Connections
Proto
Local Address
Foreign Address
State
TCP
pavilion:25872
WARLOCK:1045
ESTABLISHED
TCP
pavilion:25872
sy-as-09-112.free.net.au:3925
ESTABLISHED
TCP
pavilion:31580
WARLOCK:1046
ESTABLISHED
TCP
pavilion:2980
205.188.2.9:5190
ESTABLISHED
TCP
pavilion:3039
24.66.10.101.on.wave.home.com:1031
kako to radi VokySoft
VokySoft cracking
Sada dobro pogledajte prethodni primer. Videcete [Proto] u gornjem levom uglu. Ovo nam govori koji je protokol u pitanju tcp/udp. Odmah napred nalazi se [Local Address] ovo nam govori lokalnu ip adresu/hostname i otvorene portove. Zatim, [Foreign Address] - govori IP adresu/host i otvoren port konekcije u obliku IP:PORT sa “:” izmedju. I na kraju videcete [State] koji nam govori da li je konekcija uspostavljena. Ovo moze biti ESTABLISHED ukoliko je konekcija uspostavljena i LISTENING ukoliko se ceka konekcija.
[Detektovanje otvorenih portova]]
Netstat mozete koristiti i da nadjete vasu IP adresu i otvorene portove na vasem racunaru. Na slican nacin, Netstat se moze koristiti i za detektovanje trojana. Evo i primera: Primetili ste nesto veoma cudno sa vasim kompjuterom? Vas cd-rom se sam od sebe otvara i zatvara. Vi shvatate da se neko petljao sa trojanom na vasem racunaru. Sada vam je cilj da otkrijete koji je trojan u pitanju i da ga uklonite. Dakle sada ce te pokrenuti vas ms-dos prompt i proveriti koji su portovi otvoreni. Postoje mnogo nacina za koriscenje netstata, stoga pogledajte help kucajuci netstat ?
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
-a
Displays all connections and listening ports.
-e
Displays Ethernet statistics. This may be combined with the -s option.
-n
Displays addresses and port numbers in numerical form.
-p
Proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s option to display per-protocol statistics, proto may be TCP, UDP, or IP.
-r
Displays the routing table.
-s
Displays per-protocol statistics. By default, statistics are shown for TCP, UDP and IP; the -p option may be used to specify a subset of the default.
interval
Redisplays selected statistics, pausing interval seconds between each display.
Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once.
Ja licno volim da koristim komandu ‘netstat -an’ koja daje listu svih konekcija, portova i ip adresu umesto hosta. Npr. unesite komandu netstat -an i pregledajte listu portova. Potrazite i otvorene portove koji su uobicajni za trojane 12345 (stari NetBus Trojan) 1243 (SubSeven) itd… I samim tim koji je port otvoren znacete koji je trojan u pitanju i lakse ce te ga ukloniti. Npr. ukoliko je otvoren port 12345 zarazeni ste NetBus Trojanom, zato sto je ovaj port tipican za njega.
Post je objavljen 03.04.2008. u 13:49 sati.